操作系统安全实验3实验报告Word格式.docx
《操作系统安全实验3实验报告Word格式.docx》由会员分享,可在线阅读,更多相关《操作系统安全实验3实验报告Word格式.docx(15页珍藏版)》请在冰豆网上搜索。
3、实验内容
1、配置本地安全设置,完成以下内容:
(1)账户策略:
包括密码策略(最小密码长度、密码最长存留期、密码最短存留期、强制密码历史等)和账户锁定策略(锁定阈值、锁定时间、锁定计数等)
(2)账户和口令的安全设置:
检查和删除不必要的账户(User用户、DuplicateUser用户、测试用户、共享用户等)、禁用guest账户、禁止枚举帐号、创建两个管理员帐号、创建陷阱用户(用户名为Administrator、权限设置为最低)、不让系统显示上次登录的用户名。
(3)设置审核策略:
审核策略更改、审核账户登录事件、审核账户管理、审核登录事件、审核特权使用等
(4)设置IP安全策略
(5)其他设置:
公钥策略、软件限制策略等
2、Windows系统注册表的配置
(1)找到用户安全设置的键值、SAM设置的键值
(2)修改注册表:
禁止建立空连接、禁止管理共享、关闭139端口、防范SYN攻击、减少syn-ack包的响应时间、预防DoS攻击、防止ICMP重定向报文攻击、不支持IGMP协议、禁止死网关监控技术、修改MAC地址等操作。
建立空连接:
“Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous”的值改成“1”即可。
禁止管理共享:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters项
对于服务器,添加键值“AutoShareServer”,类型为“REG_DWORD”,值为“0”。
对于客户机,添加键值“AutoShareWks”,类型为“REG_DWORD”,值为“0”。
关闭139端口:
在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
防范SYN攻击:
相关的值项在HKLM\SYSTEM\CurrentControlSet\Service\Tcpip\Parameters下。
(1)DWORD:
SynAttackProtect:
定义了是否允许SYN淹没攻击保护,值1表示允许起用Windows的SYN淹没攻击保护。
(2)DWORD:
TcpMaxConnectResponseRetransmissions:
定义了对于连接请求回应包的重发次数。
值为1,则SYN淹没攻击不会有效果,但是这样会造成连接请求失败几率的增高。
SYN淹没攻击保护只有在该值>
=2时才会被启用,默认值为3。
(上边两个值定义是否允许SYN淹没攻击保护,下面三个则定义了激活SYN淹没攻击保护的条件,满足其中之一,则系统自动激活SYN淹没攻击保护。
)
减少syn-ack包的响应时间:
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxConnectResponseRetransmissions定义了重发SYN-ACK包的次数。
增大NETBT的连接块增加幅度和最大数器,NETBT使用139端口。
HKLM\SYSTEM\CurrentControlSet\Services\NetBt\Parameters\BacklogIncrement默认值为3,最大20,最小1。
HKLM\SYSTEM\CurrentControlSet\Services\NetBt\Parameters\MaxConnBackLog默认值为1000,最大可取40000
预防DoS攻击:
在注册表
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以防御一定强度的DoS攻击
SynAttackProtectREG_DWORD2
EnablePMTUDiscoveryREG_DWORD0
NoNameReleaseOnDemandREG_DWORD1
EnableDeadGWDetectREG_DWORD0
KeepAliveTimeREG_DWORD300,000
PerformRouterDiscoveryREG_DWORD0
EnableICMPRedirectsREG_DWORD0
防止ICMP重定向报文的攻击:
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirectsREG_DWORD0x0(默认值为0x1)
该参数控制Windows是否会改变其路由表以响应网络设备(如路由器)发送给它的ICMP重定向消息,有时会被利用来干坏事。
Windows中默认值为1,表示响应ICMP重定向报文。
禁止响应ICMP路由通告报文
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\PerformRouterDiscoveryREG_DWORD0x0(默认值为0x2)
“ICMP路由公告”功能可造成他人计算机的网络连接异常,数据被窃听,计算机被用于流量攻击等严重后果。
此问题曾导致校园网某些局域网大面积,长时间的网络异常。
建议关闭响应ICMP路由通告报文。
Windows中默认值为2,表示当DHCP发送路由器发现选项时启用。
不支持IGMP协议
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IGMPLevelREG_DWORD0x0(默认值为0x2)
Win9x下有个bug,就是用可以用IGMP使别人蓝屏,修改注册表可以修正这个bug。
Windows虽然没这个bug了,但IGMP并不是必要的,因此照样可以去掉。
改成0后用routeprint将看不到224.0.0.0项了。
禁止死网关监测技术
HKLM\SYSTEM\CurrentControlSet\Services:
\Tcpip\ParametersEnableDeadGWDetectREG_DWORD0x0(默认值为ox1)
如果你设置了多个网关,那么你的机器在处理多个连接有困难时,就会自动改用备份网关,有时候这并不是一项好主意,建议禁止死网关监测。
修改MAC地址
HKLM\SYSTEM\CurrentControlSet\Control\Class\
找到右窗口的说明为“网卡“的目录,比如说是{4D36E972-E325-11CE-BFC1-08002BE10318}展开之,在其下0000,0001,0002...的分支中找到”DriverDesc“的键值为你网卡的说明,比如说”DriverDesc“的值为”Intel(R)82559FastEthernetLANonMotherboard“然后在右窗口新建一字符串值,名字为”Networkaddress“,内容为你想要的MAC值,比如说是”004040404040“然后重起计算机,ipconfig/all查看。
3、文件及文件夹权限设置
(1)用户组及用户的权限:
有哪些组?
其权限是什么?
有哪些用户?
分属哪些组?
设置其权限。
(2)新建一个文件夹并设置其访问控制权限。
4、审核日志分析
(1)查找审核日志,显示其详细信息:
应用程序日志、安全性日志、系统日志。
(2)分析各种日志所描述的内容,分析警告、信息、错误等的意义。
信息为普通系统信息,警告为暂时可不处理的问题,错误为必须立即处理的问题。
5、使用Microsoft基准安全分析器MBSA2.0对系统进行安全评估
Microsoft基准安全分析器(MBSA)可以检查操作系统,还可以扫描计算机上的不安全配置。
检查Windows服务包和修补程序时,它将Windows组件(如Internet信息服务(IIS)和COM+)也包括在内。
MBSA使用一个XML文件作为现有更新的清单。
该XML文件包含在存档Mssecure.cab中,由MBSA在运行扫描时下载,也可以下载到本地计算机上,或通过网络服务器使用。
本文档部分内容来源于网络,如有内容侵权请告知删除,感谢您的配合!